我有一台 PC 192.168.1.10,我想阻止从局域网到它的端口 443 的流量。
现在我只使用:
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 443 -j REJECT
问题是,如果我指向浏览器,https://192.168.1.10
它需要一些时间才能进入连接超时,而不是像我期望的 -j REJECT 操作那样立即拒绝连接。
为什么?我希望得到一个通过我设置的 iptables 规则拒绝的连接,而不是一个带有延迟的连接超时。
谢谢
更新:iptables 规则:
Chain INPUT (policy DROP 1 packets, 36 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags:! 0x17/0x02 state NEW
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x3F/0x29
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x3F/0x3F
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x3F/0x00
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x11/0x01
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x3F/0x37
0 0 ACCEPT tcp -- * * 127.0.0.0/24 0.0.0.0/0
0 0 ACCEPT udp -- * * 127.0.0.0/24 0.0.0.0/0
9 468 REJECT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp dpt:443 reject-with icmp-admin-prohibited
0 0 REJECT tcp -- tun0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 reject-with icmp-port-unreachable
70 4080 ACCEPT tcp -- * * 192.168.1.0/24 0.0.0.0/0
37 9773 ACCEPT udp -- * * 192.168.1.0/24 0.0.0.0/0
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 10/sec burst 5
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0
6 456 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- eth0 tun0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * eth0 10.7.7.0/24 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 94 packets, 14132 bytes)
pkts bytes target prot opt in out source destination
答案1
根据进一步的交流,似乎有必要补充:
--reject-with tcp-reset
按照您的iptables ... -j REJECT
规则,以便立即做出反应,而无需等待超时。
即使使用特定的基于 ICMP 的拒绝类型会更好,因为该协议是为发出连接拒绝原因的信号而定制的。